Docker

• Vous écrivez ou optimisez des Dockerfiles et souhaitez que la mise en cache des couches fiable, les builds multi-étapes et les modèles d'utilisateur non-root soient appliqués par défaut.
• Vous orchestrez des services avec Docker Compose et avez besoin d'aide pour les health checks, l'ordre des dépendances, les montages de volumes et la gestion des fichiers .env.
• Vous déboguez un problème de conteneur — kills OOM (exit 137), conflits de ports, échecs réseau ou limitations des images distroless.
• Vous renforcez un conteneur pour la production : gestion des secrets, limites de ressources, rotation des logs et suppression des flags dangereux comme --privileged.

• Votre infrastructure utilise exclusivement Kubernetes ou un autre orchestrateur de conteneurs — une compétence dédiée à Kubernetes serait plus adaptée.
• La tâche ne fait pas du tout appel à Docker (code d'application pur, pipelines CI sans conteneurs, etc.).

Applique les versions d'images épinglées, la combinaison des couches RUN pour éviter les caches obsolètes, l'optimisation de l'ordre des COPY, et USER nonroot par défaut. Signale les erreurs silencieuses comme l'utilisation de ADD à la place de COPY ou la fuite de secrets via les arguments de build.

Couvre l'intégralité du flux de travail Compose, notamment les conditions depends_on tenant compte des health checks, la composition multi-fichiers, l'emplacement des fichiers .env, ainsi que les pièges liés aux montages de volumes qui écrasent silencieusement les données du conteneur.

Explique pourquoi le DNS des conteneurs nécessite des réseaux personnalisés, comment limiter les ports publiés à 127.0.0.1 pour une exposition locale uniquement, et comment éviter l'accumulation de volumes anonymes et les incompatibilités de permissions avec les montages liés.

Fournit une carte pratique des codes de sortie (137 = OOM, 139 = segfault), l'inspection des journaux pour les conteneurs en échec, ainsi que des techniques pour accéder aux systèmes de fichiers dans des conteneurs distroless ou en plantage à l'aide de docker cp et de conteneurs sidecar de débogage.

Identifie les modèles à haut risque, notamment les secrets intégrés via ENV, l'utilisation du flag --privileged, et les images provenant de registres non vérifiés. Recommande l'utilisation de montages de secrets et de capacités Linux spécifiques plutôt qu'une élévation générale des privilèges.

Surveille les images orphelines, la croissance incontrôlée du cache de build, les conteneurs arrêtés qui consomment de l'espace disque, ainsi que les réseaux orphelins. Fournit les commandes prune exactes nécessaires pour maintenir les systèmes hôtes propres.

Utilisez cette compétence lors de la rédaction d'un nouveau Dockerfile pour appliquer automatiquement des images de base épinglées, un ordonnancement optimal des couches, des modèles de build multi-étapes, des utilisateurs non-root et des limites de ressources — en évitant d'emblée les erreurs de build et de sécurité les plus courantes.

Lorsqu'un conteneur se ferme de manière inattendue, la compétence vous guide à travers la lecture des codes de sortie, la récupération des journaux des conteneurs défaillants, l'inspection de l'état avec docker inspect, et la récupération des fichiers depuis le système de fichiers d'un conteneur hors service.

Orchestrez des bases de données, des API et des services front-end avec des conditions de vérification de l'état appropriées, des liaisons de ports délimitées, des volumes nommés et un placement correct du fichier .env, afin que les services démarrent dans le bon ordre et communiquent de manière fiable.

Maintenez un hôte Docker en bonne santé en supprimant les images orphelines, en récupérant le cache de construction, en supprimant les conteneurs arrêtés et en nettoyant les réseaux abandonnés — avec les bons indicateurs pour éviter de supprimer accidentellement des volumes nommés.